[发明专利]用于隔离的电子邮件消息的增强型安全分析的系统和方法

说明书

一种启用针对隔离的电子邮件消息的增强型安全分析的方法，包括：在电子邮件网关处接收来自外部网络的入埠电子邮件消息；确定所述电子邮件消息是否将隔离；如果所述消息将隔离，则重构所述电子邮件消息作为针对新电子邮件的附件；构建寻址到安全路径上的安全存储库的新电子邮件消息；将重构的电子邮件消息附接到所述新电子邮件消息；以及释放包含作为附件的所述重构的电子邮件消息的所述新电子邮件消息。由所述安全路径中的一个或多个安全服务执行威胁分析。将可疑电子邮件和分析结果存储于所述安全存储库中。

技术领域

本发明涉及信息系统和安全，且更确切地说涉及用于隔离的电子邮件消息的增强型安全分析的系统和方法。

背景技术

随着网络威胁的扩散，许多组织采用了多层IT保护。作为实例，从外部网络到达的传入电子邮件消息可由多个安全层从电子邮件网关开始进行检查。电子邮件网关可被配置成执行初始防病毒检查、实施防垃圾邮件，且执行其它定制的安全控制。额外安全层可对通过初始网关层的消息实施更先进持久性威胁解决方案和独立的防病毒解决方案。额外安全层还可对照内建的签名和定制的规则来检查传入电子邮件消息。实施于额外保护层中的当前先进解决方案可累积关于威胁的信息且构建关于威胁模式的“网络智能”。

初始电子邮件网关层的默认行为是阻挡任何可疑的电子邮件消息，例如在消息与所配置阻挡规则中的任一个匹配的情况下。虽然此默认行为提供重要的保护层，但被电子邮件网关阻挡的电子邮件不能通过剩余的安全解决方案，这导致潜在有价值的网络智能的损失。此外，被阻挡的电子邮件消息无法简单地从电子邮件网关转发以进行进一步分析，因为在此过程中，原始电子邮件的主体和标头的结构改变且标头信息自动丢失。

因此，需要一种从初始网关处被阻挡的所有电子邮件消息获得完整的原始信息以增强对潜在网络威胁的了解的系统和方法。本发明解决了此项技术中的此需要。

发明内容

本发明的实施例包含一种启用针对隔离的电子邮件消息的增强型安全分析的方法。所述方法包括：在电子邮件网关处接收来自外部网络的入埠电子邮件消息；确定所述电子邮件消息是否将隔离；如果所述消息将隔离，则重构所述电子邮件消息作为针对新电子邮件的附件；构建寻址到安全路径上的安全存储库的新电子邮件消息；将重构的电子邮件消息附接到所述新电子邮件消息；以及释放包含作为附件的所述重构的电子邮件消息的所述新电子邮件消息。重构的电子邮件消息包含在电子邮件网关处从外部网络接收的电子邮件消息的原始版本。

在一些实施例中，当确定消息将不隔离时，将电子邮件消息沿着线内路径释放到常规安全服务。

在某些实施方案中，通过对照可疑指示符的所配置列表比较电子邮件消息的一个或多个部分来执行关于电子邮件消息是否将隔离的确定。

本发明的实施例还包含一种针对隔离的电子邮件消息的增强型安全分析的方法。所述方法包括：在安全路径中的一个或多个安全服务处接收电子邮件，所述电子邮件包含作为附件的包含标头和主体内容的完整可疑电子邮件；使用所述一个或多个安全服务分析所述附件；记录分析步骤的结果；将附件和所记录结果存储在安全存储库中；扫描附件以确定附件的特性；以及基于所确定特性将被扫描附件集群为群组。

在一些实施例中，所述方法进一步包括以下步骤：在确定电子邮件消息是否将隔离时利用包含被扫描附件的所确定特性的集群群组。

安全服务可包含防病毒、先进持久性威胁(APT)、防垃圾邮件和反恶意软件服务中的一个或多个(但不限于那些特定服务)。

在某些实施方案中，通过对照Yara规则运行附件来执行扫描附件的步骤。

在所述方法的一些实施例中，基于所感知威胁级别对集群的电子邮件进行优先级排序。